Взлом SecondFi на Cardano: 16 миллионов ADA утекли из-за уязвимости в генерации ключей
El 23 de junio, el equipo de SecondFi se vio obligado a poner su plataforma en la blockchain de Cardano en modo de mantenimiento seguro tras detectar un problema crítico de seguridad. Los usuarios perdieron temporalmente la capacidad de realizar transacciones a través de la interfaz mientras los desarrolladores evaluaban la magnitud de la fuga.
Ya al día siguiente, el 24 de junio, se supo que los atacantes habían logrado retirar alrededor de 16 millones de ADA desde 374 direcciones. Según mis estimaciones, basadas en el tipo de cambio de ADA en ese momento (~$0,146), el daño ascendió a aproximadamente $2,4 millones. Esto es un duro golpe para la confianza en el proyecto, que se posicionaba como una billetera confiable.
Medidas de emergencia y magnitud del problema
Para evitar la pérdida total de fondos, el equipo de SecondFi activó protocolos de protección de emergencia. Lograron bloquear y redirigir los 129 millones de ADA restantes a un custodio calificado independiente. Según declararon los desarrolladores, estos fondos se mantendrán en beneficio de las direcciones afectadas.
La investigación mostró que se realizaron cuatro eventos de retiro de fondos. Tres de ellos fueron obra de los atacantes, mientras que el cuarto probablemente fue iniciado por el propio equipo para mover los activos protegidos. SecondFi no confirmó directamente este hecho, pero la lógica sugiere precisamente ese desarrollo de los acontecimientos.
Raíz de la vulnerabilidad: claves privadas en riesgo
La principal conclusión que saco de este incidente es que la vulnerabilidad radica en el nivel de generación de claves privadas. Como señaló el CEO de Immunefi, Mitchell Amador, el software de SecondFi exponía las claves que él mismo generaba. Esto es un error fundamental en la arquitectura de seguridad.
Es importante destacar: el problema no afecta a la blockchain de Cardano en su conjunto. Está localizado específicamente en el módulo de la billetera SecondFi responsable de la creación de claves. Por eso el equipo recomendó encarecidamente a los usuarios NO restaurar su frase semilla en otras billeteras basadas en Cardano: el riesgo de compromiso persiste.
Posición de IOG y EMURGO: distanciamiento y responsabilidad
El fundador de Cardano, Charles Hoskinson, se apresuró a distanciar a su empresa Input Output Global (IOG) del incidente. Afirmó que SecondFi no es un producto de IOG y que no tienen ninguna relación comercial ni control sobre el proyecto. "Nosotros no escribimos este código ni estamos vinculados a él", subrayó Hoskinson.
Sin embargo, es importante entender el contexto. Detrás de SecondFi (anteriormente conocido como Yoroi Wallet) está EMURGO, uno de los tres fundadores clave de Cardano, junto con IOG y Cardano Foundation. EMURGO se describe a sí mismo como cofundador de la blockchain, impulsando su adopción comercial. Por lo tanto, aunque IOG formalmente no asume responsabilidad, el incidente arroja una sombra sobre todo el ecosistema, especialmente tras eventos recientes en los que una billetera "inactiva" perdió accidentalmente $6,05 millones en un pool ilíquido.
Mi análisis: Este hackeo no es solo un fracaso técnico, sino una falla sistémica en la gestión de riesgos. Un proyecto que aspira a ser la billetera principal de Cardano no debería permitir fugas de claves privadas a nivel de generación. Los usuarios deberían reconsiderar sus riesgos al usar cualquier solución no custodial, especialmente si están vinculadas a equipos jóvenes.